DANE ausgehend

Für die ausgehende Kommunikation mit DANE-Verfizierung der TLS-Verschlüsselung müssen folgende Voraussetzungen erfüllt sein:

  • Validierender Resolver (dessen Antworten vertraut wird)
  • DANE-fähiger Mail Transfer Agent (MTA)


Validierender Resolver

Um ein TLS-Zertifikat eines eines Empfänger-Mailservers mittels DANE zu verifizieren, muss der assoziierte TLSA Resource Record gelesen werden. Dieser ist auf einem autoritativen Nameserver hinterlegt, der im allgeimeinen auch durch den Mailserver-Betreiber verwaltet wird, oder zumindest ihm vertrauenswürdig ist.

Die Abfrage erfolgt durch den Resolver, dem der sendende Mailserver vertrauen muss, wie auf der Wiki-Seite DNS Grundlagen und Funktionsweise beschrieben. Der validierende Resolver selbst überprüft den empfangenen TLSA-Eintrag mittels DNSSEC, und leitet ihn mit dem "AD" Flag (authenticated data) versehen an den Mailserver weiter. Der TLSA-Eintrag enthält dann entweder

  • den Fingerprint des Public Key, mit dem das Zertifikat signiert wurde
  • den Fingerprint des Zertifkats
  • den vollständigen Public Key, mit dem das Zertifikat signiert wurde
  • oder das vollständige Zertifkat

wobei die zu erwartende Signatur, anhand des "Certificate usage", "Selectors" und "Matching Type", z.B. 3 0 1, 3 1 1, bestimmt ist.

DANE-fähiger Mail Transfer Agent

Der MTA vergleicht dann den empfangenen TLSA Resource Record mit dem entsprechenden Hash des vom Server empfangenen Zertifikats. Stimmen diese überein, ist das Zertifikat mittels DANE verifiziert.


Howtos

Die im Wiki finden Sie die Konfiguration anhand von Postfix.